Benchmarking Approach to Compare Web Applications Static Analysis Tools Detecting OWASP Top Ten Security Vulnerabilities

Любопытное сравнение инструментов статического анализа на ResearchGate от лета 2020 года в разрезе OWASP Top 10. Внутри больше цифр и графиков. Выводы остаются за вами.

#dev #sast

Learn Kubernetes Security, Kaizhe Huang

Книга от ресерчера Sysdig, мейнтейнера Falco, kube-psp-advor и участника CNCF.

Изучение Kubernetes Security начинается со знакомства с архитектурой Kubernetes и сетевой моделью. Затем автор переходит к модели угроз Kubernetes и защите кластеров. Поднимаются такие темы, как аутентификация, авторизация, сканирование образов, мониторинг ресурсов, защита компонентов кластера (kube-apiserver, CoreDNS и kubelet) и подов (усиление образа, контекста безопасности и PodSecurityPolicy). Есть также практические примеры как использовать инструменты Anchore, Prometheus, OPA и Falco.

#k8s #literature #ops

Connaisseur - Container Image Signatures in Kubernetes

connaisseur - open-source утилита, представляющая из себя admition controller в kubernetes, которая позволяет реализовать проверку подписей образов. Подробнее об этом можно прочитать в статье Container Image Signatures in Kubernetes. Альтернативный вариант, как это можно сделать - использовать ImagePolicyWebhook и Anchore Engine. Об этом в частности рассказывали коллеги из mail.ru на своей конференции. Еще один вариант - Portieris.

#k8s #ops

Немного любопытной статистики с GitHub Universe 2020 - Developer Asia Pacific, который идет прямо сейчас.

#dev

OpenSSF CVE Benchmark

День назад OpenSSF релизнули проект OpenSSF CVE Benchmark. Основная цель проекта - сравнивать инструменты SAST на реальных кодовых базах, в которых была найдена CVE до и после патча. По сути, это репо, содержащее скрипты, которые запускают на текущий момент ESLint, NodeJSScan и CodeQL против различных open-source проектов на GitHub. Ссылки, версии и уязвимость содержатся в JSON-файлах для каждой CVE (пока что только JavaScript и TypeScript). После запуска сканирования автоматически генерируется сравнение результатов в веб-морде с указанием на ложные срабатывания. В roadmap обещают больше тулов и CVE.

Похожий проект 4 года назад делала команда OWASP. Они написали 2740 test cases на Java и натравили на них различные инструменты SAST, в том числе туда попал DAST - OWASP ZAP. Среди SAST были и коммерческие инструменты. Запустить бенчмарки можно и сейчас на их репо. В отличие от OpenSSF бенчмарки от OWASP содержат непосредственно сам код, а не ссылку на репо.

#sast #dev

Semgrep for Cloud Security

Semgrep - инструмент статического анализа кода и всевозможных конфигурационных файлов. Он позволяет задавать паттерны, согласно которым будет осуществляться поиск той или иной конструкции в файле. В частности, учитывать одновременно сразу несколько конструкций для сокращения ложных срабатываний. На практике при анализе исходных кодов semgrep выдает все же достаточно много фолзов, уступая более умным инструментам вроде codeql.

Другое, отличное на мой взгляд, применение semgrep - terraform и kubernetes. В сравнении с OPA Conftest semgrep обладает более доступным языком описания запросов. Вот пример того, как могли бы выглядеть правила. Часть некоторых правил, с которых можно было бы начать, уже можно найти в репо semgrep-rules. Еще у semgrep есть удобный веб-интерфейс для тестирования правил.

#k8s #terraform #sast #ops #opa

Security: KubeCon + CloudNativeCon North America 2020 - Virtual

Все сильнее ощущается конец года - интересных анонсов и ресерчей все меньше, поэтому предлагаю взглянуть на доклады последнего Kubecon по части безопасности.

- Using Open Policy Agent to Meet Evolving Policy Requirements - доклад о том, что такое OPA, как работает и какие правила вообще можно написать

- DevOps All the Things: Creating a Pipeline to Validate Your OPA Policies - доклад про выстраивание модульного и интеграционного тестирования политик OPA

- Customizing OPA for a "Perfect Fit" Authorization Sidecar - о том, как можно использовать API Golang OPA для собственных нужд и кастомизации

- Также Aqua Security еще раз рассказала свой доклад Handling Container Vulnerabilities with Open Policy Agent о том, как можно интегрировать Trivy и OPA вместе в виде операторов k8s.

К сожалению, выложили далеко не все доклады. В частности, нет доклада Secure Policy Distribution With OPA. Автор этого доклада также известен своим другим крутым докладом Open Policy Agent Deep Dive.

- Кроме OPA затрагивали также тему mTLS и потенциальных подводных камней - PKI the Wrong Way: Simple TLS Mistakes and Surprising Consequences

- Не забыли и про Falco. Интересно, что на Kubecon был доклад про масштабирование Falco на 100к контейнеров (Security Kill Chain Stages in a 100k+ Daily Container Environment with Falco) и обход правил Falco инженером из Sysdig 🤷‍♂️ (Bypass Falco)

Программа конференции
Другие доклады

#dev #ops #k8s #talks #opa

How To Protect Sensitive Data in Terraform

Гайд, как хранить и прятать sensitive информацию в Terraform. В качестве безопасного хранилища данных используется DigitalOcean Space. Использование удаленного хранилища вместо локального позволит скрыть информацию terraform.tfstate от злоумышленника. Также применяется маскирование данных через инструмент tfmask, чтобы sensitive данные не отображались в terraform plan и terraform apply.

https://www.digitalocean.com/community/tutorials/how-to-protect-sensitive-data-in-terraform

#ops #terraform

Risk8s Business: Risk Analysis of Kubernetes Clusters

Mark Manning, автор статей и докладов про атаки на kubernetes, совместно с Clint Fiber, автором блога по AppSec/DevSecOps, выпустили раздел про анализ рисков k8s.

Анализ рисков состоит из двух важных этапов:
- Сбор информации об окружении. Сюда входит сбор всевозможных ресурсов k8s и оценка его сложности, способ его развертывания, используемые CNI, логи, RBAC-правила, сторонние сервисы (CI/CD, registry, vault)
- Анализ возможных рисков. На основе собранной информации, выявляются риски, связанные с мисконфигурацией - доступные сервисы, уязвимости кластера и хостов по итогам проверки CIS, некорректные NP, доступность директорий из подов и так далее.

Было также упомянуто много интересных статей и утилит, которые я опишу в последующих постах.

#k8s #attack #threatmodeling #ops

Kubernetes RBAC Security Pitfalls

Наличие настроенного RBAC в k8s далеко не всегда означает должный уровень безопасности. Нельзя забывать, что и при настройки RBAC могут совершаться ошибки, которые приведут к повышению привилегий злоумышленником. Так, например, до 2019 года можно было стать администратором кластера получив доступ к токену сервис-аккаунта clusterrole-aggregation-controller. Однако права sa были изменены с '*' на 'escalate'. Тем не менее, нам ничего не мешает сделать kubectl edit clusterrole system:controller:clusterrole-aggregation-controller и изменить apiGroups, resources и verbs на '*'.

Хороший и одновременно короткий пост про другие ошибки RBAC можно прочитать здесь:
- Kubernetes RBAC Security Pitfalls

Также можно прочитать про использование глагола LIST, который позволяет раскрыть секреты k8s:
- When LIST is a Lie in Kubernetes

Статья про аудит RBAC:
- Tools and Methods for Auditing Kubernetes RBAC Policies

#k8s #ops #attack

Shifting Threat Modeling Left: Automated Threat Modeling Using Terraform

Статья + видео о том, как применять моделирование угроз в разрезе облачной инфраструктуры на базе AWS и Terraform. В качестве примера рассматривается уязвимый проект KaiMonkey. Для выявления уязвимостей и compliance-рисков применяется инструмент Terrascan.

В продолжение этой темы предлагаю также посмотреть сравнение инструментов для сканирования Terraform.

- Shifting Cloud Security Left — Scanning Infrastructure as Code for Security Issues

#ops #terraform #threatmodeling #aws

Declarative Authorisation Service (DAS)

На последнем KubeCon NA 2020 компания Styra, куда входят разработчики OPA, релизнули бесплатную версию DAS (Declarative Authorisation Service). Это сервис, который может бесплатно помочь небольшим командам (до 10 нод) внедрить OPA себе в инфраструктуру. Сервис предоставляет удобный редактор правил Rego с возможностью валидации, инструмент мониторинга действий в кластере и срабатываний AdmissionController, встроенный пак собственных правил.

Подробнее:
https://www.infracloud.io/blogs/opa-the-easy-way-featuring-styra-das/

А еще у Styra есть бесплатный небольшой курс по OPA.

#k8s #ops #opa

Kubernetes Threat Modeling Simulator

Kubernetes Threat Modeling Simulator - тестовый стенд, разворачиваемый с помощью Terraform в AWS, на котором можно попрактиковать различные сценарии атаки и защиты в k8s. Сюда входят атаки на секреты, rbac, etcd и многое другое. В случае, если что-то не получается, можно воспользоваться хинтами.

Чтобы получить какую-то теоретическую базу, можно ознакомиться с K8s Attack Tree. Это набор сценариев различных атак в виде деревьев на базе методологии STRIDE.

Ну и не забываем про известный проект ATT&CK Matrix Kubernetes.

#k8s #attack #threatmodeling #ops

Кстати, для тех, кто не хочет разбираться в развертывании, а хочет сразу начать хацкать, на известном для многих CTF-любителей ресурсе root-me есть соответствующий таск "In Your Kubernetass". Достаточно запустить ВМ и можно подключаться в облако.

#attack #k8s

--enable-admission-plugins=PodSecurityPolicy

#пятничное #k8s

🍷Happy Wine Year!🍷

Друзья, сегодня ровно год как был создан канал DevSecOps Wine. Еще в начале года я ставил себе цель достигнуть отметки в 500 человек к концу 2020, а сейчас вас уже более 3000 человек. Спасибо за фидбек, предложенные материалы и поддержку! С наступающим Новым 2021 годом!

Уже сейчас запланировано несколько интересных активностей на следующий год для community и я очень надеюсь, что все пройдет по плану. Оставайтесь на связи!

Пока что предлагаю вам присоединиться:

@sec_devops_chat - обсуждения всего, что относится к DevSecOps

@appsec_job - вакансии по DevSecOps и AppSec

@cloud_sec - канал про безопасность облаков на английском